アクセス制限のルール「ファイヤーウォールポリシー」とは?
- ツイート
-
- 2015/08/13
ファイアーウォールは、内部ネットワークを防衛する重要な機能です。 今回は、ファイアーウォールを構築する際に重要な「ファイアーウォールポリシー」を取り上げ、 このポリシーに基づいたネットワークトラフィックの処理方法やファイアーウォールゲートウェイについて見ていきましょう。
IT業界まるわかりガイドは、日本初Web専門スクールのインターネット・アカデミーが運営する業界情報メディアです。最新の業界情報を、初心者にも分かりやすくご紹介しています。
目次
ファイアーウォールポリシーとは
ファイアーウォールを構築する際には、 まずファイアーウォールポリシーを策定することが重要です。
ファイアーウォールポリシーとは、アクセス制限のルールのことですが、 これに留まらず、ファイアーウォールを運用する際の方針(セキュリティポリシー)を広く含みます。
ファイアーウォールは、後述するようにインターネットへの玄関(ゲートウェイ)となりますので、 ファイアーウォール自体に問題が発生し停止してしまうと、 インターネットやメールなどの外部との通信がストップします。
従って、そのような事態を想定し考慮した上で、 どのようなファイアーウォールを設置するべきか慎重に選定する必要があります。
ファイアーウォールポリシーの策定
まず最初に、企業や組織の情報セキリュリティポリシーに基づいて、 以下のような項目に対し、ネットワークトラフィックの処理方法を決定します。
特定のIPアドレスとプロトコル
業務に必要なプロトコルとIPを許可します。
アプリケーション
アプリケーションTCP/UDPのポート番号に基づき、アプリケーションを許可、もしくはブロックします。
コンテンツのタイプ
業務に必要なコンテンツを許可し、そうでないものをブロックします。
ユーザー識別情報
識別情報を確認し、ユーザー認証に基づいたポリシーを策定します。
ネットワークアクティビティ
非アクティブな状態が一定期間続いた場合に、 管理者が確立した接続をブロックするよう設定することが可能です。
組織の方針に即したポリシーとするために、リスク分析を行い、 その組織に必要なトラフィックのタイプのリストを作成します。 このリストを元にファイアーウォールポリシーを策定します。
この際、一般的には、ファイアーウォールポリシーによって 明示的に許可されていないトラフィックを全て遮断するように設定します。 そして、認められたトラフィックだけを例外的に許可します。
これはdeny-by-defaultと呼ばれる方法で、攻撃のリスクを低減すると共に、 企業のネットワーク上で行き来するトラフィックの量を減らすことができます。
ファイアーウォールゲートウェイ
ファイアーウォールは、外部ネットワーク(WAN)と内部ネットワーク(LAN)の間に設置され、 外部からの攻撃を防ぐ最初の砦となります。
このように、異なるネットワーク同士を接続するために使う機器のことをゲートウェイと呼びます。 ゲートウェイとは玄関のことで、ネットワークを行き来する通信は必ずこのゲートウェイを通過することになります。
現在は、家庭のルーターにもファイアーウォールが設置され、 インターネットを利用するユーザーは知らない間にファイアーウォールゲートウェイの恩恵にあずかっています。
ファイアーウォールは、プロキシ(代理)プログラムを実行し、 内部ネットワークと外部ネットワークを行き来する発着信パケットをフィルタリングします。 ファイアーウォールポリシーは、このプロキシプログラムに埋め込まれており、 ルールに従ってトラフィックをコントロールします。
全ての着信トラフィックはファイアーウォールに送られ、 また全ての送信トラフィックも同様にファイアーウォールから発信される形になります。 プロキシには、「アプリケーションレベルゲートウェイ」と「サーキットレベルゲートウェイ」の2種類があります。
アプリケーションレベルゲートウェイ
アプリケ―ション層においてフィルタリングを行います。 HTTPやFTP、POP/SMTP、telnetなどのアプリケーションごとに、 別々のプロキシプログラムによって中継されます。
パケットのデータ部までチェックしてフィルタリングを行うため、 例えば、内部からの特定の外部Webサイトへの閲覧を制限できるなどの特徴があります。
サーキットレベルゲートウェイ
トランスポート層(TCP/UDP)においてフィルタリングを行います。 IPパケットによる制御の他に、TCPのセッション単位で、 任意のポートに関する通信の可否をコントロールできます。